渗透测试视频课程
作者:互联网
注:视频课程【小迪安全】web安全|渗透测试|网络安全(6个月线上培训全套)_哔哩哔哩_bilibili
靶场:墨者学院
day2数据包的扩展
主要介绍了一些消息头的各个部分是什么意思
例如:referer:来源
cookie:缓存
user-Agent:客户端设备信息
等,这里主要记录一下课后做的实验,通过burp suite抓包改包,修改自己的浏览器信息伪造成微信端访问,添加X-Forwarded-for,然后再通过burp suite修改X-Forwarded-for的ip伪造不同ip投票。这里的X-Forwarded-for参数主要是显示消息经过了几次代理,IP来源的。
打开网站看到要求将a2019投到第一:
在点击投票的时候显示请用微信打开:
明显需要伪造user-Agent,所以我们开启burp suite(这里我使用的火狐,然后发现127.0.0.1:8080连不上,查阅资料后才知道火狐会自动跳过本地127.0.0.1:8080和loadhost两个永不使用代理,后来改成了127.0.0.1:8081就可以顺利使用了)
将红线圈起来的地方改为在网上找到的微信来源的信息
发包,可以看到投票成功:
然后再次按照相同方法操作一遍发现显示同一个IP不能投多次
这个时候使用burp suite的批量提交请求功能,添加:X-Forwarded-for参数,将IP设为变量,然后进行攻击
将IP后两位设置为变量,然后自己设置上下边界遍历
两个变量设置方法一样,然后开始攻击:
完成实验
标签:视频,127.0,Forwarded,渗透,IP,0.1,课程,burp,suite 来源: https://www.cnblogs.com/everythingispossible/p/15570510.html